ЭЭЭ.. товарищи. у меня тут вопрос..

Практически вся информация между устройством Android и серверами Google проходит в открытом виде — gzip через HTTP. Синхронизация контактов, календарей — точно. Похоже, то же и с маркетом.

Шифруется соединение с почтой и процесс авторизации на сервере.

Рекомендую, как минимум, стараться не пользоваться незащищёнными WiFi–сетями.

если интересно, вот пример запроса на добавление нового контакта (это дамп пакета с моего телефона, только личные данные стёр). Проверял на Android 2.1 и 2.3

+79*********

FirstName
LastName
FirstName LastName

что с этим делать, ололоо???!!!!

Tagged with:
 

36 Responses to ЭЭЭ.

  1. NBav:

    спасибо парсеру.
    <?xml version=’1.0′ encoding=’UTF–8′ standalone=’no’?>
    <entry xmlns=»//www.w3.org/2005/Atom» gd=»//schemas.google.com/g/2005″ gContact=»//schemas.google.com/contact/2008″>
    <phoneNumber rel=»//schemas.google.com/g/2005#mobile» primary=»true»>+79*********</ph oneNumber>
    <groupMembershipInfo href=»//www.google.com/m8/feeds/groups/my…» deleted=»false» />
    <name>
    <givenName>FirstName</giv enName>
    <familyName>LastName</</g familyName>
    <fullName>FirstName LastName</fullName>
    </name>
    </entry>

  2. Shur:

    Расскажи подробнее как подлючиться к серверу гугла по HTTP, интересует хост/порт.

  3. NBav:

    Порт 80, хост — android.clients.google.com
    Только там сначала аутентификация по https происходит, не забывай.
    Сам хост редиректит, нужно указывать точный адрес

    Заголовки запросов такие:
    GET /proxy/contacts/groups/[email protected]/base2_property–android?showdeleted=true&orderby=lastmodified&updated–min=2011–03–17T08%3A49%3A00.561Z&sortorder=ascending&max–results=10000&requirealldeleted=true HTTP/1.1
    Accept– gzip
    GoogleLogin auth=ДЛИННАЯ_СТРОКА
    GData– 3.0
    android.clients.google.com
    Keep–Alive
    User– Android–GData–Contacts/1.3 (vision FRF91); gzip

  4. EBlack:

    VPN.

    Календарь, насколько я помню, шифруется.

  5. Berry:

    что делать, что делать
    лечить паранойю

  6. Emova:

    не надо. С ней веселее.

  7. NBav:

    xml календаря дней рождений — открытый. Там тоже контакты светятся.

  8. NSam:

    давайте напишем им письмо

  9. ZSmile:

    если у тебя нет паранойи, то это не значит что за тобой не следят.

  10. EBlack:

    отдавая контакты гуглу как–то странно слышать о паранойе.

  11. NBav:

    я не поводу гугла беспокоюсь

    когда я сижу в баре и пользуюсь их wifi, им ничего не мешает читать трафик. И распространять контактные данные в рекламных целях.
    И, как бэ, подменить http ответ — тоже реально. Т.е. в итоге, записав новый телефончик у прекрасной барышни, они (злочмыри) его смогут подменить. А то и всю адресную книгу — при синхронизации

    а вот пример календаря:

    <?xml version=’1.0′ encoding=’UTF–8′?>
    <feed xmlns=’//www.w3.org/2005/Atom’ openSearch=’//a9.com/–/spec/opensearchrss/1.0/’… gCal=’//schemas.google.com/gCal/2005′ gd='»>//schemas.google.com/g/2005′>
    <id>//www.google.com/calendar/feeds/%23…
    <updated>2011–03–37.000Z</updated>
    <category scheme=’//schemas.google.com/g/2005#kind’ term='»>//schemas.google.com/g/2005#event’/…
    <title type=’text’>Contacts’ birthdays and events</title>
    <subtitle type=’text’>Your contacts’ birthdays and anniversaries</subtitle>
    <link rel=’alternate’ type=’text/html’ href='»>//www.google.com/calendar/embed?src…
    <link rel=’//schemas.google.com/g/2005#feed’ type=’application/atom+xml’ href='»>//www.google.com/calendar/feeds/%23…
    <link rel=’//schemas.google.com/g/2005#batch’ type=’application/atom+xml’ href='»>//www.google.com/calendar/feeds/%23…
    <link rel=’self’ type=’application/atom+xml’ href=’//www.google.com/calendar/feeds/%23…:39.000Z&max–results=200&recurrence–expansion–end=1970–01–01&sortorder=ascending&recurrenc e–expansion–start=1970–01–01&orderby=lastmodified’/>
    <author><name>Contacts</n ame></author>
    <generator version=’1.0′ uri=’Google»>//www.google.com/calendar’>Googl… Calendar</generator>
    <totalResults>144</o totalResults>
    <startIndex>1</openS startIndex>
    <itemsPerPage>200</o itemsPerPage>
    <timezone value=’Europe/Moscow’/><times Cleaned value=’0’/><entry><id>15 :37.000Z</published><update d>2011–03–37.000Z</updated><cate gory scheme=’//schemas.google.com/g/2005#kind’ term='»>//schemas.google.com/g/2005#event’/… type=’text’>Alexander ****’s birthday</title><content type=’text’>Today is Alexander ****’s birthday!

    //profiles.google.com/profilename2…

    так что нифига оно не шифрованное.

  12. NBav:

    возможное решение — рутовать телефон, настраивать тунелирование любых соединений на хост android.clients.google.com до «заведомо надёжного хоста», там уже пускать по http.
    пока ничего лучше не придумал

  13. Vov:

    Где–то я слышал вариант, что можно гуглаккаунт указать как exchange–аккаунт, в смысле стучаться на сервера гугла за контактами, почтой и календарем через mapi с шифрованием

  14. Vov:

    да, поковырял, если сервером указать m.google.com то таки он даст доступ по типу exchange, с полным ssl–шифрованием, так что параноикам на заметку.

  15. NBav:

    вот за эту идею спасибо. надо проверить 🙂

  16. Emova:

    а на кой чёрт вообще левые вайфаи использовать?

  17. DDas:

    Абсолютно недопустимо! Бывает, приглянусь барышне, а вайфай левый. Барышня уже пишет свой телефон на салфетке и пытается всучить мне, но я не беру, ведь кто знает, возможно салфетка отравлена!

  18. NBav:

    facepalm
    я говорю не о том, что мы сами нарываемся на проблемы, я говорю о том, как легко спиздить личные данные.

  19. GOva:

    а можно поподробнее??

  20. NXan:

    Коля, поддай инфы!

  21. Vov:

    Смотри. Добасляешь для синхронизации аккаунт, указываешь его как exchange. Сервер указываешь как m.google.443, доменом прописываешь gmail.com. Собственно все, я даже не знаю, как это подробнее можно.
    Вот их инструкция для нокии, для понимания, я аналогично поступил — все тут же подцепилось без проблем.

  22. NBav:

    маркет только придётся привязывать либо к другому эккаунту, либо ставить левый маркет, либо «тут синхронизируем, тут — нет»
    решение и правда для параноиков.
    ну зачем надо было так коряво делать?? «заглушка на будущее»?

  23. GOva:

    но у меня можно только гугль–аккаунт добавить для синхронизации, поэтому я ничего не понял

  24. OTed:

    Кнопка «далее» неактивна на экране, где
    домен\юзер
    пароль
    сервер

    Чо за?

  25. GOva:

    есть только добавить аккаунт google, где он спрашивает логин и пароль, и только то, далее по кнопке завершить начинает синхронизировать.
    Acer Liquid E прошивка t&l, froyo 2.2. Есть подозрение, что там повырезано что–то отвечающее за эксчендж, но вот как бы узнать что?

  26. NBav:

    Телефон авторизуется по гугл–эккаунту. А эксчендж эккаунт — это типа плагина уже внутри системы. Там же, где и твиттер вы добавляете.
    Так что не ожидайте, что синхронизация по эксчендж всё решит.

  27. GOva:

    так, разобрался! Нужно чтобы в системе было приложение Email.apk

  28. GOva:

    да, согласен. К тому же любимый стоковый Gmail с ним не работает.
    Увы, не самый сочный вариант для параноиков.

  29. Ooff:

    Там же есть возможность указать свой VPN сервер.

    Я сам давненько об етом думаю, но природная лень всё побеждает..

    Можно купить самый дешёвый VPN за 100 рублей в месяц, поставить туда крутится сайтики или ещё что, и заодно воткнуть туда OpenVPN.

    Во всех открытых сетках использовать исключительно VPN, PROFIT!

  30. NBav:

    а вот это — хороший вариант.
    Только там есть pptp и l2tp. А openvpn того же — нету 🙁
    Кстати, а где у нас vpn–ы раздают?

  31. CIn:

    //market.android.com/search?q=open…

  32. NBav:

    эээ.. ну как бы, я догадался где скачать ПРИЛОЖЕНИЕ. А где взять подключенный VPN–сервак?
    Не на роутере же настраивать — через nat плохо работать будет. У меня и так dyndns еле фурыкает.

  33. CIn:

    впн сервер всегда можно установить и через нат openvpn работает отлично

  34. NBav:

    «впн сервер всегда можно установить»
    ну.. ээээээээ.. я в курсе, что его установить можно! И настроить можно! Главное — обеспечить постоянное подключение к интернету.

    А для этого нужны пустяки — сервак с внешним IP с аптаймом в 99%

    openVPN через нат работает, да. Но телефон рутовать надо :–(

  35. Ooff:

    Тут чуваки замутили идею с впн, но она платная.. //kebrum.org/

    Я вообщем–то у них и стырил эту идею 🙂

Добавить комментарий